COMPONENTES BÁSICOS DE UNA VPN

-Los dispositivos deberán autenticarse antes de que la ruta de comunicación se considere segura
-Las dos partes deben acordar el algoritmo de cifrado que se debe utilizar en el túnel VPN
-Las dos partes deben establecer una clave secreta utilizada mediante cifrado y algoritmos hash
 TIPOS DE VPN
SITIO A SITIO
-Las organizaciones usan VPN de sitio a sitio para conectar ubicaciones remotas, como si
se tratará de una línea alquilada o una conexión Frame Relay.
-Una VPN sitio a sitio conectan redes enteras entre ellas. Pueden, por ejemplo, conectar
la red de una sucursal a la red de la sede central corporativa.
-En una VPN sitio a sitio, los hosts envían y reciben tráfico a través de un “gateway VPN”.
-Un gateway VPN puede ser un router o un firewall , por ejemplo.
-El gateway es el responsable de encapsular y cifrar el tráfico para un sitio particular, y
enviarlo a través de un túnel VPN por Internet a otro gateway VPN en el sitio objetivo.
-El gateway receptor, al recibir el tráfico elimina los encabezados, descifra el contenido y
retransmite el paquete hacia el host objetivo de la red privada.
VPN DE ACCESO REMOTO
-La mayoría de los trabajadores a distancia tienen acceso a Internet desde sus hogares y
puede establecer VPN remotas por medio de las conexiones de banda ancha.
-Las VPN de acceso remoto pueden admitir las necesidades de los trabajadores a
distancia, los usuarios móviles, además de las extranets que conectan a proveedores y
clientes a la empresa.
-Cada host en una VPN de acceso remoto tiene un software cliente VPN.
-Cuando el host intenta enviar tráfico, el software cliente VPN encapsula y cifra este
tráfico antes del envío hacia el gateway VPN en el borde de la red objetivo.
-El gateway al recibirlo maneja los datos de la misma forma que en una VPN de sitio a
sitio.
 COMPONENTES DE UNA VPN
-Las VPN usan protocolos de tunneling criptográficos para brindar protección contra capturadores de
paquetes, autenticación e integridad a los mensajes.
-Los componentes de una VPN típica incluyen:
- Una red existente con servidores y estaciones de trabajo/Una conexión a Internet/ Gateways VPN,
como routers, firewalls o concentradores VPN, que actúan como extremos para establecer, administrar
y controlar las conexiones VPN/ Software adecuado para crear y administrar túneles VPN (imagen
Cisco IOS criptográfica).
- La mayoría de las VPN utilizan los siguientes 2 métodos para lograr la confidencialidad de los datos:
- Encapsulación: también denominada tunneling. Transmite datos de forma transparente de red a red a
través de una infraestructura de red compartida.
- Cifrado: codifica los datos mediante una clave secreta. La decodificación devuelve los datos cifrados al
forma original sin cifrar. CUALQUIERA DE LAS OPCIONES DE CONEXIÓN QUE SE MUESTRAN EN LA
FIGURA ES VALIDA PARA CONECTARNOS A TRAVES DE UNA VPN.
 CARACTERÍSTICAS DE UNA VPN SEGURA
-Las VPN usan técnicas de cifrado y tunneling para permitir que las conexiones de red
privadas de extremo a extremo a través de Internet sean seguras.
-La base de una VPN segura son la confidencialidad, la integridad y la autenticación.
CONFIDENCIALIDAD: Una cuestión que suele despertar preocupación es la protección
de datos contra personas que pueden ver o escuchar sin permiso información
confidencial (husmeadores).
-La confidencialidad tiene el objetivo de proteger el contenido de los mensajes contra
posibles husmeadores no autenticados o autorizados.
-Las VPN logran este objetivo mediante mecanismos de encapsulación y cifrado.
INTEGRIDAD DE DATOS: Los receptores no tienen constancia de la ruta por la que
han viajado los paquetes y, por tanto, no saben si alguien ha modificado los datos en el
camino desde el origen al destino.
-La integridad garantiza que no se realicen cambios indebidos ni alteraciones en los
datos mientras viajan desde el origen al destino.
-Generalmente, las VPN utilizan “hashes” para garantizar la integridad.
-El hash es como un checksum más robusto que garantiza que nadie haya modificado el
contenido.
AUTENTICACIÓN: La autenticación garantiza que el mensaje provenga de un origen
auténtico y se dirija a un destino auténtico.
-La identificación de usuarios brinda la seguridad de que la persona con quien nos
comunicamos es quien creemos que es.
-Se pueden usar contraseñas, certificados digitales, tarjetas inteligentes, etc…
 ENCRIPTACIÓN DE DATOS DE LA VPN
-Si por Internet se transporta texto plano, puede ser interceptado y leído.
-Para mantener la privacidad, es necesario cifrar los datos.
-El cifrado hace que los datos sean ilegibles para los receptores no autorizados.
-Tanto el emisor como el receptor, deben conocer las reglas que se utilizan para
transformar el mensaje original en la versión cifrada.
-Estas reglas de la VPN incluyen un algoritmo y una clave.
-El algoritmo es una función matemática que combinará el mensaje, texto o dígitos (o los
tres) con una clave. El resultado será una cadena de cifrado ilegible.
-El descifrado es extremadamente difícil o imposible sin la clave correcta.
 ENCRIPTACIÓN DE DATOS DE LA VPN
-El grado de seguridad que proporciona un algoritmo de encriptación depende de la
longitud de la clave.
-Cuanto mayor sea la clave, mayor será el tiempo de procesamiento de todas las
posibilidades de descifrar el texto mediante pruebas ensayo y error.
-Sin embargo, si la clave es muy grande, se requerirá mayor tiempo para cifrar y
descifrar los datos en origen y destino.
ALGORITMO DES (ESTÁNDAR DE CIFRADO DE DATOS)
-Desarrollado por IBM.
-Utiliza claves de 56 bit para garantizar encriptación de alto rendimiento.
-Utiliza un sistema de encriptación de clave simétrica (la clave que cifra es la que
descifra).
ALGORITMO 3DES
-Variante más reciente de DES.
-Realiza una encriptación con una clave, descifra con otra clave, y realiza la encriptación
por última vez con otra clave también diferente.
-Proporciona mucha más fuerza al proceso de encriptación que DES.
AES
-Proporciona más seguridad que DES, y es más eficaz en cuanto a su cálculo que 3DES.
-Ofrece 3 tipos de longitudes de clave (128, 192 y 256 bits).
RSA (RIVEST, SHAMIR Y ADLEMAN)
-Sistema de encriptación de clave asimétrica.
-Utiliza claves de longitudes de bits de 512, 768 o superiores.
 CIFRADO DE DATOS DE LA VPN
CIFRADO CON CLAVES SIMÉTRICAS (PSK-CLAVE PRECOMPARTIDA)
-Requieren que una clave secreta compartida realice la encriptación y el descifrado.
-También se la conoce como encriptación por clave secreta.
-Cada equipo cifra la información antes de enviarla por la red al otro equipo.
-Para que el dispositivo transmisor y receptor tengan la misma clave compartida
podríamos utilizar el correo electrónico, un mensajero, o algo similar para enviar dichas
claves secretas compartidas a los administradores de los dispositivos.
-Sin embargo, existe un método más fácil y más seguro, que es el cifrado asimétrico
mediante el uso de Diffie Hellman.
-Whitfield Diffie y Martin Hellman inventaron el algoritmo Diffie-Hellman (DH) en 1976.
-El algoritmo DH es la base de la mayoría de los métodos automáticos de intercambio
de claves actuales.
-Diffie-Hellman no es un mecanismo de cifrado y no es utilizado para cifrar datos sino
que es un método para intercambiar de forma segura las claves para cifrar datos.
-En un sistema de claves simétricas, ambos extremos de la comunicación deben tener
claves idénticas. El intercambio seguro de dichas claves siempre se ha presentado como
un desafío. DH es un algoritmo matemático que permite a dos ordenadores generar
una clave secreta idéntica en ambos sistemas, sin haberse comunicado con
anterioridad. La nueva clave compartida nunca es realmente intercambiada entre los
participantes. Pero debido a que ambas partes la conocen, puede ser utilizada para
cifrar el tráfico entre los dos sistemas.
-DH es usado en general para el intercambio de datos utilizando una VPN Ipsec.
 ENCRIPTACIÓN DE DATOS DE LA VPN
ENCRIPTACIÓN CON CLAVES ASIMÉTRICAS(RSA)
-Los sistemas de claves asimétricas resuelven el desafío del intercambio de claves porque
utilizan dos claves. Una clave es llamada clave privada, mientras que la otra se llama clave
pública.
-La clave privada es secreta y sólo conocida por el usuario. La clave pública se comparte
en forma abierta y se distribuye con facilidad.
-Utiliza diferentes claves para el cifrado y el descifrado.
-Conocer una clave no es suficiente para que un pirata informático deduzca la segunda
clave y decodifique la información.
-Una clave cifra el mensaje y otra lo descifra. No se pueden realizar ambos con la misma
clave.
- La encriptación de clave pública es una variante de la encriptación asimétrica que usa
una combinación de clave privada y clave pública.
-Emisor y receptor conocen su propia clave privada (cada uno la suya), y se envían entre
ellos una clave pública (el emisor al receptor la suya, y el receptor al emisor la suya).
-Para descifrar un mensaje, el receptor usa la clave pública del emisor y su propia clave
privada.
-Desafortunadamente, los sistemas de clave asimétrica son extremadamente lentos para
cualquier tipo de cifrado masivo. Por este motivo, es común cifrar el grueso del tráfico
utilizando un algoritmo simétrico como DES, 3DES o AES.
 INTEGRIDAD DE DATOS DE LA VPN
-Los hashes contribuyen a la autenticación y la integridad de los datos, ya que garantizan
que personas no autorizadas no alteren los mensajes transmitidos.
-Se les conoce también como “message digest” o “desafíos”.
-Son números generados a partir de cadenas de texto.
-Se generan mediante una fórmula la cual provoca que sea extremadamente improbable
que otro texto produzca el mismo valor de hash.
-El emisor genera un hash del mensaje y lo envía junto con el mismo mensaje.
-El receptor descifra el mensaje y el hash, produce otro hash a partir del mensaje recibido
y compara los dos hashes.
-Si son iguales, puede estar seguro que la integridad del mensaje no ha sido alterada.
 INTEGRIDAD DE DATOS DE LA VPN
-Las VPN usan un código de autenticación de mensajes para verificar la integridad y
autenticidad de un mensaje (HMAC).
-El HMAC es un código de autenticación de mensajes de hash en clave , que es un
algoritmo de integridad de datos que garantiza la integridad del mensaje.
-Consta de dos parámetros: el mensaje de entrada y una clave secreta, la cual sólo
conocen el creador del mensaje y los receptores que corresponde.
-El emisor utiliza una función HMAC para producir un valor que se forma al condensar la
clave secreta y el mensaje de entrada.
-Este código generado se envía junto al mensaje.
-El receptor calcula el código con la clave y usa la misma función HMAC que utilizó el
emisor.
-Si los dos valores coinciden, el mensaje no ha sido alterado, y el receptor está seguro
que el emisor es un miembro de la comunidad de usuarios que comparten la clave.
-Hay dos algoritmos HMAC comunes:
- MD5 (message digest 5): Usa una clave secreta compartida de 128 bits.
- SHA-1: Utiliza una clave secreta de 160 bits.
- Tanto si se usa MD5, como si se usa SHA-1, el resultado del hash calculado se
agrega al mensaje original y se envía al extremo remoto.
 AUTENTICACIÓN DE LA VPN
-Cuando se realizan negocios a larga distancia, es necesario saber quién está al otro lado
del teléfono, del correo electrónico o del fax.
-Lo mismo sucede con las VPN. El dispositivo ubicado en el otro extremo del túnel debe
autenticarse correctamente antes que la ruta de comunicación se considere segura.
-Existen dos métodos de autenticación:
- PSK (PRE-SHARED KEY): Clave secreta compartida entre dos partes que utilizan un
canal seguro antes de que pueda utilizarse. Usan algoritmos criptográficos de
clave simétrica. En cada extremo, la PSK se combina con otra información para
formar la clave de autenticación.
- FIRMA RSA: Usa el intercambio de certificados digitales para autenticar a los
pares. El dispositivo local deriva un hash y lo cifra con su clave privada. El hash
encriptado se adjunta al mensaje y se envía al extremo remoto. En el extremo
remoto, el hash encriptado se descifra mediante la clave pública del extremo
local. Si el hash coincide, la firma es verdadera y por tanto sirve para autenticar al
par.
PROTOCOLOS DE SEGURIDAD IPSec
- IPSec es un conjunto de protocolos para la seguridad de las comunicaciones IP, que proporciona encriptación, integridad
y autenticación. IPSec se basa en algoritmos existentes para implementar encriptación, autenticación y el intercambio de
claves. Algunos de estos algoritmos son:
- DES, 3DES, AES para encriptación.
- MD5 y SHA-1 para la integridad o autenticación de los paquetes.
- DH (Diffie Hellman), permite que dos partes establezcan una clave secreta compartida.
-Los dos protocolos principales del framework IPsec son AH y ESP.
-Authentication Header (AH)-Es el protocolo apropiado para utilizar cuando no se requiere o no se permite la
confidencialidad. Asegura que el origen de los datos es R1 o R2 y verifica que los datos no han sido modificados durante
la transmisión. AH no provee confidencialidad de datos (cifrado) de los paquetes. Si se utiliza únicamente el protocolo
AH, se provee una protección débil. Todo el texto se transporta sin cifrar.
-AH logra la autenticación aplicando una función de hash a un paquete utilizando una clave. Este hash se combina con el
texto y se transmite. El receptor detecta si hubo cambios en cualquier parte del paquete durante su transmisión,
ejecutando la misma función hash de una vía sobre el paquete recibido, comparando luego el resultado con el valor del
hash recibido.
-AH soporta los algoritmos HMAC-MD5 y HMAC-SHA-1. AH puede presentar problemas si el entorno utiliza NAT, puesto
que al sacar el valor del hash tiene en cuenta la cabecera IP origen, y si la misma es modificada el hash recalculado en
destino no coincidirá.
 PROTOCOLOS DE SEGURIDAD IPSec
- PAYLOAD ENCAPSULADO SEGURO (ESP): puede proveer confidencialidad, integridad y autenticación.
- Proporciona confidencialidad ejecutando el cifrado de los paquetes IP. El cifrado de estos paquetes
resguarda los datos y la identidad tanto del origen como del destino. Aunque tanto el cifrado como la
autenticación son opcionales en ESP, debe seleccionarse uno como mínimo.
- Primero, ESP cifra el paquete y le da integridad con algún mecanismo de hashing.
- Finalmente, se agrega un nuevo encabezado IP al paquete autenticado. Se utiliza la nueva dirección IP
para enrutar el paquete a través de Internet. Cuando se seleccionan tanto autenticación como cifrado,
primero se realiza el cifrado. El campo autenticación ESP es el valor de hash que autentica a ambos
pares.